Qu'est-ce que la Loi californienne sur les droits à la vie privée (CPRA)?

Les exigences du CCPA concernant des droits renforcés en matière de données Les exigences des consommateurs occupent les professionnels de la protection de la vie privée. Mais de nombreuses entreprises n'auront peut-être pas le temps de souffler avant la prochaine série de lois californiennes sur la confidentialité des données. La loi californienne sur les droits à la vie privée (CPRA, alias CCPA version 2.0) renforce encore la protection des données des consommateurs et la réglementation des entreprises.

Pourquoi la nouvelle réglementation californienne sur la confidentialité… déjà ?

Certains estiment que le CCPA n'est pas allé assez loin. Plus précisément, le groupe qui à l'origine du CCPA — les Californiens pour la protection de la vie privée des consommateurs — semblait souffrir de remords du vendeur après l'adoption du CCPA.

« Certaines des plus grandes entreprises mondiales ont activement et explicitement donné la priorité à l'affaiblissement du CCPA », déclare Alastair Mactaggart, le chef des Californiens pour la protection de la vie privée des consommateurs.

De plus, « les outils technologiques ont évolué de telle manière qu'ils exploitent les données des consommateurs, avec des conséquences potentiellement dangereuses. Je pense que cette utilisation des données des consommateurs est non seulement immorale, mais menace également notre démocratie », déclare-t-il.

Nouvelles protections en vertu de la loi californienne sur les droits à la vie privée (CPRA)

Alors que le CCPA semble affaibli, le groupe a présenté la nouvelle initiative de vote sur la loi californienne sur les droits à la vie privée pour les élections de novembre.

Le Le CPRA est essentiellement un amendement au CCPA et propose une législation qui renforcera certaines dispositions de la loi initiale et introduira de nouvelles protections. Parmi celles-ci, on peut citer :

• établir une autorité de régulation de la confidentialité dédiée à l'État pour gérer l'application de la loi
• étendre la portée des données réglementées
• instaurer de nouveaux droits sur les données des consommateurs qui régissent le traitement et le partage des données
• modification de la responsabilité en cas de manquement
• créer des exigences pour la minimisation des données

En bref, la CPRA présente un nouvel ensemble d’exigences qui obligeront les entreprises à connaître leurs données et exploiter l'intelligence des données pour soutenir des programmes de confidentialité réactifs, flexibles et complets.

Nouvelles définitions et dispositions de la CPRA

Application de la loi par l'Agence californienne de protection de la vie privée

La CPRA créerait l'Agence californienne de protection de la vie privée, la première agence aux États-Unis dotée d'une autorité réglementaire exclusivement consacrée à la vie privée.

L'agence reprendrait le Le rôle du procureur général de Californie dans l'application de la loi, et pourront désormais poursuivre les entreprises sans leur accorder un délai de 30 jours pour atténuer leurs violations.

Par où commencer : Être capable de rapidement et efficacement réagir aux exigences réglementaires, satisfaire tous les consommateurs demandes de données à grande échelle et rapports d'activité.

Définition des informations personnelles sensibles (IPS)

« Renseignements personnels sensibles » (RPS) est un nouveau terme qui existerait en vertu de la CPRA.

Au-delà des informations personnelles (IP)Les SPI comprennent des informations telles que les numéros de sécurité sociale, les numéros de permis de conduire, les cartes d'identité d'État, les informations de passeport, la géolocalisation précise, les informations d'identification des utilisateurs, les informations financières et de santé, les données sur la « vie sexuelle » ou l'orientation sexuelle, les données biométriques et génétiques, l'origine raciale ou ethnique, les croyances religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le contenu des courriers, des e-mails et des SMS.

Par où commencer : Rechercher et identifier automatiquement tous vos SPI où qu'ils se trouvent — sur site, dans le cloud et hybride — sur toutes les sources de données, à l'échelle du pétaoctet.

Le droit à la rectification

La première des nouvelles dispositions révolutionnaires de la CPRA en matière de droits des consommateurs est le « droit de rectification », qui stipule que les entreprises doivent offrir aux consommateurs la possibilité de mettre à jour et de corriger les informations inexactes qu'une entreprise pourrait détenir à leur sujet.

Par où commencer : Découvrir et inventorier toutes les données sensibles et personnelles appartenant à une identité — directe et inférée — pour une image complète des données consommateurs que vous collectez.

Droit de limiter l'utilisation et la divulgation des informations personnelles sensibles

La deuxième disposition importante relative aux droits relatifs aux données offre aux consommateurs la possibilité de limiter la finalité de la collecte et du traitement des informations personnelles aux seules fins nécessaires à la fourniture des biens ou services demandés.

Par où commencer : Ajoutez du contexte à vos données avec des fonctionnalités avancées classification et corrélation qui vous permet de découvrir des relations, de déduire de nouveaux attributs et d'afficher les données en fonction de leur objectif d'utilisation.

Le droit de savoir

La CPRA a élargi la portée de la Disposition du CCPA relative au « droit de savoir » Cela inclut spécifiquement les informations personnelles collectées, vendues ou partagées. Les entreprises doivent divulguer dès le départ les catégories d'informations collectées et partagées avec un prestataire de services ou un sous-traitant tiers.

Par où commencer : Inventaire SPI, flux de données de documents et automatiser les processus de traitement du « droit de savoir » pour un programme de gestion de la confidentialité plus solide.

Le droit de suppression

La CPRA clarifie le « droit de suppression » de la CCPA pour exiger que les tiers, les fournisseurs de services et les entrepreneurs se conforment à une demande de suppression valide.

Par où commencer : Déterminez quelles données doivent être supprimées et où elles se trouvent, et assurer une validation continue de la suppression via des requêtes automatisées.

Ne pas vendre

L'obligation de « ne pas vendre » les informations personnelles est également renforcée. Elle inclut désormais la possibilité de refuser le partage d'informations – et pas seulement leur vente – à des fins de publicité comportementale.

Par où commencer : Suivez et documentez la gestion des préférences, le consentement et tous les partages de données avec des tiers.

Minimisation et conservation des données

Outre l'élargissement du champ d'application des informations réglementées, le projet de loi prévoit des exigences de minimisation et de conservation des données. Les entreprises seraient tenues de divulguer la durée de conservation des données et de s'assurer que cette durée est limitée à la durée « raisonnablement nécessaire ».

Par où commencer : Définissez et appliquez des règles de conservation des données avec des flux de travail automatisés et découvrez les données en double, dérivées et similaires pour une gouvernance conforme à la confidentialité et des rapports efficaces.

Responsabilité en cas de violation de données

La CPRA modifie la disposition de la CCPA relative à la responsabilité en cas de violation de données afin d'inclure les violations entraînant la compromission de l'adresse e-mail d'un consommateur en combinaison avec un mot de passe ou une question de sécurité. Cette modification est conforme à une nombre croissant d'États, tel que La loi SHIELD de New York, qui incluent les informations d'identification des utilisateurs comme données méritant une notification de violation.

Par où commencer: Découvrez et corrélez des informations personnelles, comme une adresse e-mail, avec des mots de passe, afin de mieux les protéger contre d'éventuelles violations. Identifiez les utilisateurs potentiellement impactés par des violations de données connues pour une réponse proactive aux incidents.

Défis de conformité avec la CPRA et comment BigID peut vous aider

La CPRA présente un certain nombre de défis pratiques en matière de conformité.

Le premier est la nécessité de découverte plus approfondieLes approches traditionnelles de découverte de données ne permettent pas d'identifier systématiquement les données désormais concernées, notamment avec les SPI nouvellement définies. Les nouveaux droits sur les données prévus par la législation proposée renforcent la nécessité pour les entreprises de comprendre les informations personnelles dans leur contexte afin de pouvoir traiter les SPI de manière appropriée, de faciliter le refus de la vente et du partage, et de pouvoir limiter l'utilisation de ces données.

L'extension de la responsabilité en cas de violation proposée par la loi pour inclure les combinaisons d'adresses e-mail et de mots de passe met également davantage de données en dangerCela nécessite que les entreprises soient capables de relier et de classer automatiquement les données, et de comprendre comment les identifiants sont liés les uns aux autres en fonction de mesures telles que la proximité.

Les nouvelles exigences de minimisation et de conservation fondées sur un objectif divulgué créent la nécessité d'identifier les données en double et redondantes, ce qui s'étend dans l'espace de gouvernance des données.

Avec BigID, les entreprises peuvent anticiper ces défis en :

• Connaître leurs données: combiner l'identification des PI et la classification des données sensibles
• Comprendre à qui appartiennent les données: profilage d'identité et indexation de données couvrant les PI et les SPI, y compris la géolocalisation
• Minimiser les données en double ou sensibles: activer la minimisation des données avec l'identification des doublons et appliquer des règles de conservation pour les SPI en fonction d'un objectif divulgué
• Gestion des risques liés aux données: découvrir, classer et mapper les informations d'identification des utilisateurs pour appliquer des contrôles de réduction des risques de violation
• S'assurer qu'ils partagent les bonnes données : suivre et signaler le partage avec des tiers
• Rapport sur les données dont ils disposent: activer les flux de travail de correction et valider si la géolocalisation est capturée

Bien qu'il ne soit pas encore certain que le CPRA devienne officiel, le secrétaire d'État de Californie a récemment déclaré que le CPRA avait recueilli suffisamment de voix pour être soumis au vote des élections générales. Il suffit que le projet de loi soit approuvé par suffisamment de Californiens en novembre prochain.

Si cela se produit, les entreprises soucieuses de se conformer à la CCPA — et celles qui ne l'ont pas fait — pourraient avoir du retard à rattraper. l'évolution du paysage de la conformité n'est jamais une mauvaise idée.